Le fichier csv contient 133611 lignes et 15 colonnes Description des 15 colonnes : ID_ANSSI : Identifiant unique attribué par l'ANSSI à chaque alerte Titre_ANSSI : Titre de l'alerte publié par l'ANSSI Type : Type de publication (ex : Avis, Bulletin, etc.) Date_publication : Date de publication de l’alerte CVE_ID : Identifiant unique de la vulnérabilité (Common Vulnerabilities and Exposures) CVSS_score : Score CVSS (Common Vulnerability Scoring System) Base_Severity : Niveau de gravité (Low, Medium, High, Critical) CWE : Code CWE (Common Weakness Enumeration) CWE_description : Description du type de vulnérabilité EPSS_score : Probabilité d'exploitation (Exploit Prediction Scoring System) Lien_bulletin : Lien vers le bulletin de l’ANSSI Description : Résumé technique de la vulnérabilité Editeur : Nom de l’éditeur du produit concerné Produit : Nom du produit concerné
On remarque grâce à ce graphique que :
- La majorité des vulnérabilités sont de niveau HIGH, avec environ 22 000 cas. Cette forte proportion de vulnérabilités élevées indique qu’un grand nombre de failles présentes dans les systèmes peuvent avoir un impact sérieux si elles sont exploitées
- Le niveau MEDIUM suit avec environ 13 000 vulnérabilités, ce qui reste significatif
- Les niveaux CRITICAL et LOW sont nettement moins représentés (environ 1 500 cas chacun)
Ce graphique met donc en évidence une forte concentration de failles à impact élevé (HIGH et MEDIUM), ce qui suggère un besoin de vigilance renforcée. De plus, même si les vulnérabilités critiques sont peu nombreuses, elles représentent un risque majeur et nécessitent une priorisation immédiate en matière de correction.
Ces deux graphiques mettent en évidence les types de vulnérabilités (CWE) les plus fréquents recensés. On remarque que :
CWE-416 (Use After Free) est de loin la plus fréquente, avec près de 8000 cas. Cela indique qu'un grand nombre de logiciels manipulent mal la mémoire après libération. CWE-416 représente à lui seul près de 25 % des vulnérabilités, ce qui confirme sa dominance en termes de volume et d’importance.
CWE-122 (Heap-Based Buffer Overflow) et CWE-125 (Out-of-Bounds Read) suivent, avec environ 4700 vulnérabilités chacune. Ces deux vulnérabilités sont liées à des erreurs dans la gestion des tampons mémoire et peuvent conduire à des fuites d'information ou à des corruptions de données.
Sur les 10 premières vulnérabilités, la majorité (CWE-416, 122, 125, 476, 787, 190, 191) sont liées à des erreurs de gestion de mémoire : déréférencement de pointeurs nuls, dépassement de tampon, ou arithmétique non sécurisée. Cela souligne que les erreurs de gestion mémoire restent aujourd’hui encore l’un des vecteurs d’attaque les plus répandus et critiques, notamment dans les logiciels bas niveau.
Statistiques des Scores EPSS: count 38455.000000 mean 0.015644 std 0.099482 min 0.000050 25% 0.000480 50% 0.000580 75% 0.001310 max 0.975080 Name: EPSS_score, dtype: float64
Nous pouvons voir dans ce graphique que :
- La majorité des vulnérabilités se situent dans la zone verte (risque faible), comme l'indique le panneau statistique
- On observe des pics ponctuels dans la zone rouge, signalant des périodes de risque accru
- La moyenne mobile montre une relative stabilité dans le temps, avec quelques variations notables
Le premier graphique présente les 10 éditeurs ayant le plus de vulnérabilités recensées. On observe une nette domination de Linux, avec un nombre de vulnérabilités très largement supérieur aux autres (près de 65 000). Cela peut s'expliquer par la nature open source de Linux, qui regroupe de nombreux projets, distributions et contributions communautaires. Ce chiffre ne signifie pas nécessairement que Linux est moins sécurisé, mais plutôt qu’il est très audité et documenté.
Microsoft et Red Hat suivent avec un nombre important de vulnérabilités (respectivement ~24 000 et ~18 000), ce qui peut s’expliquer par leur présence massive dans les environnements professionnels.
Apple, Google, IBM, Oracle, etc., sont également présents mais dans des proportions bien moindres.
La catégorie "Inconnu" montre un manque de qualité dans certains enregistrements de données
Ce graphique est utile pour les équipes de cybersécurité afin de prioriser les audits et les actions de surveillance sur les éditeurs les plus concernés, notamment si leurs produits sont utilisés dans l’organisation.
Ce graphique met en évidence la corrélation entre deux indicateurs clés des vulnérabilités :
- le score CVSS, qui mesure la gravité d’une vulnérabilité
- le score EPSS, qui estime la probabilité d’exploitation de cette faille
On observe ici une corrélation très faible (0.13) entre les deux scores. Seules 13% des variations du score EPSS s’expliquent par le score CVSS.
Cela signifie que :
- Un score CVSS élevé ne garantit pas forcément une forte probabilité d’exploitation, et inversement.
- les vulnérabilités les plus graves ne sont pas nécessairement les plus exploitées. En effet, une vulnérabilité avec un score CVSS élevé peut être grave sur le papier mais si elle a un score EPSS faible, cela veut dire qu’elle attire peu l’intérêt des attaquants ou qu’elle est difficile à exploiter en pratique
- à l’inverse, des vulnérabilités avec un score CVSS moyen peuvent avoir un score EPSS élevé, donc représenter un risque plus concret
Cette heatmap montre qu’il est indispensable d’adopter une approche multi-critères en cybersécurité : gravité + exploitabilité réelle pour une meilleure gestion des vulnérabilités.
Les équipes de sécurité doivent tenir compte des deux dimensions pour évaluer les menaces :
- Le potentiel de dégâts (CVSS)
- La probabilité qu’elle soit réellement exploitée (EPSS)
Cette faible corrélation justifie pleinement l’utilisation conjointe de ces deux métriques. Le score EPSS apporte une dimension dynamique et contextuelle, tandis que le CVSS reste une base standardisée de criticité. L’analyse croisée permet donc de mieux prioriser les actions de remédiation.
Ce nuage de points croise deux dimensions essentielles des vulnérabilités :
- L’axe horizontal (CVSS) reflète la gravité de la faille
- L’axe vertical (EPSS) indique la probabilité qu’elle soit activement exploitée
On remarque :
- Un regroupement de vulnérabilités à haute gravité mais faible EPSS, qui sont graves sur le papier mais peu exploitées
- Quelques vulnérabilités très critiques (CVSS > 9) et avec un EPSS élevé : ce sont les cas les plus urgents
- Des vulnérabilités "moyennes" (CVSS autour de 6–7) avec un EPSS fort, qui peuvent être sous-estimées si on regarde uniquement le CVSS
Ce graphique met en lumière l’intérêt d’une approche double : considérer à la fois la gravité théorique et le risque réel d’exploitation pour mieux prioriser les réponses de sécurité. Il permet de repérer immédiatement les vulnérabilités prioritaires : celles en haut à droite (score CVSS et EPSS élevés)
Cette courbe illustre l’évolution dans le temps du nombre cumulé de vulnérabilités (CVE) recensées
On observe :
- Une périodes stable entre 2021 et 2023, avec peu de nouvelles vulnérabilités enregistrées
- Une roissance accélérée à partir de début 2024, indiquant une hausse notable du nombre de vulnérabilités publiées ou détectées
- Un effet d’escalade courant 2024–2025 : les vulnérabilités sont désormais publiées beaucoup plus fréquemment, traduisant :
- une meilleure détection par les outils de cybersécurité
- une augmentation réelle des failles dans les systèmes
- ou une multiplication des publications (ex. bulletins ANSSI, publications CERT, ...)
Ce graphique nous permet de :
- Suivre l’évolution de la menace dans le temps
- Anticiper les pics de charge pour les équipes sécurité
- Justifier l’adaptation des ressources en cybersécurité face à une hausse continue des risques
Il montre qu’on ne peut plus se contenter de gérer les vulnérabilités "à l’ancienne" : il faut des processus de veille, d’automatisation et de priorisation pour suivre le rythme, car les failles ne cessent de se multiplier
Le premier graphique montre la distribution des scores CVSS pour les vulnérabilités liées à la faiblesse CWE-444. On y observe une concentration majoritaire autour de scores modérés à élevés (entre 5.5 et 7.5), ce qui indique que ce type de vulnérabilité est généralement considéré comme sérieux, sans atteindre le niveau critique. Cela souligne une certaine constance dans la gravité perçue des failles associées à ce CWE.
Le second graphique compare les scores CVSS à leur score EPSS, c’est-à-dire leur probabilité réelle d’exploitation. On constate que malgré des scores CVSS parfois élevés, les scores EPSS restent très faibles (souvent proches de 0). Cela signifie que les vulnérabilités de type CWE-444, bien que potentiellement graves en théorie, sont peu exploitées dans la pratique.
=> Les vulnérabilités de type CWE-444 sont systématiquement prises au sérieux en termes de gravité, mais elles présentent un risque opérationnel limité du point de vue de l’exploitabilité. Cela justifie de les corriger à terme, sans les prioriser face à d’autres failles avec un EPSS plus élevé.
Ce graphique montre une hausse très marquée du nombre de vulnérabilités publiées à partir de la fin 2023.
Jusqu’en 2022, le volume restait relativement bas et stable, avec moins de 200 vulnérabilités signalées par mois. À partir de 2024, on observe une accélération brutale des publications, atteignant des pics mensuels supérieurs à 3 000 vulnérabilités.
Cette évolution peut s’expliquer par plusieurs facteurs :
- une amélioration des systèmes de détection et de signalement
- une augmentation réelle des failles découvertes, liée à l’élargissement des surfaces d’attaque (cloud, IoT, ...)
- ou encore une meilleure transparence des éditeurs, publiant désormais davantage de bulletins
La forte instabilité dans les valeurs mensuelles récentes montre que l’exposition varie fortement selon les périodes. Cela souligne l’importance pour les équipes cybersécurité de mettre en place une veille continue, réactive et adaptée aux périodes de pic.
Le graphique met en évidence les dix versions les plus fréquemment ciblées par des vulnérabilités
On remarque que toutes les versions du Top 10 sont issues de Microsoft, ce qui confirme la forte concentration des vulnérabilités sur les produits Microsoft, déjà visible dans d'autres visualisations
On y observe une forte concentration sur des éditions de Windows 10, en particulier les versions 10.0.17763.0, 10.0.14393.0 et 10.0.22631.0, ce qui montre que même les versions encore supportées et largement déployées sont régulièrement exposées à des failles critiques.
À cela s’ajoute la présence de versions obsolètes telles que Windows 7 (6.1.7601.0), Windows 8 (6.2.9200.0), ou Windows Vista (6.0.6003.0), qui, bien que théoriquement retirées du parc actif, semblent encore référencées dans les bulletins de sécurité, soulignant un risque accru dans les environnements non mis à jour.
Cette distribution des vulnérabilités rappelle la nécessité de maintenir une politique de mise à jour stricte sur les systèmes récents, et d’éradiquer les systèmes non supportés, qui constituent des cibles privilégiées pour les attaquants. Ce type de visualisation permet aux équipes IT de repérer les versions à haut risque, soit à cause de leur ancienneté, soit de leur popularité, soit d’un manque de correctifs à jour. Cela aide à prioriser les migrations vers des versions plus récentes et mieux sécurisées.
Par rapport au volume par éditeur, nous remarquons que :
- Linux domine largement en nombre total de bulletins
- Microsoft et Red Hat suivent avec un volume significatif mais nettement inférieur
- Les autres éditeurs présentent des volumes plus modestes
Pour les types de bulletins :
- La grande majorité des bulletins sont des “Avis”, représentant des vulnérabilités signalées sans urgence particulière
- Le nombre d’alertes (bulletins plus urgents ou critiques) est extrêmement faible comparé aux avis, ce qui montre que peu de vulnérabilités font l'objet d'une alerte ANSSI
- Microsoft est l’éditeur ayant le plus grand nombre d’alertes dans ce top 10, bien que cela reste minime en proportion
Ce graphique illustre bien que la majorité des vulnérabilités sont communiquées via des avis standards, et non des alertes critiques La présence majoritaire de Linux et Red Hat pourrait refléter une transparence accrue des projets open source ou un suivi rigoureux des failles connues L’outil est utile pour cibler les éditeurs à surveiller et identifier ceux qui sont les plus concernés par des bulletins d’alerte, nécessitant potentiellement une priorisation dans la gestion des correctifs
Ce boxplot permet de visualiser la répartition des scores CVSS (niveau de gravité des vulnérabilités) pour les 10 éditeurs les plus concernés.
Nous voyons que :
- Les points isolés (outliers) montrent la présence de failles atypiques, soit très faibles, soit très critiques
- La majorité des vulnérabilités se situent dans la plage 5.0-8.0
- Les scores très bas (<3.0) sont rares pour tous les éditeurs
- Les scores critiques (>9.0) sont plus fréquents chez Microsoft et Oracle
On remarque aussi que :
Microsoft a :
- une médiane élevée (autour de 8), indiquant une majorité de failles graves
- Beaucoup d'outliers vers le bas (failles moins graves)
- Distribution asymétrique : Microsoft gère aussi bien des failles critiques que mineures Cela peut refléter une politique de publication large.
Linux a :
- une distribution étendue, avec un score max à 10 et un minimum assez bas (~3,5)
- une médiane légèrement entre 7 et 8, traduisant une forte proportion de failles sévères
Oracle Corporation et Siemens ont une médiane plus basse et une forte concentration de scores entre 4 et 7, ce qui suggère que ses failles sont plus souvent de gravité modérée
Ce graphique permet de comparer rapidement la gravité des vulnérabilités entre éditeurs. Il met en évidence :
- les éditeurs qui cumulent des failles critiques fréquentes (Microsoft, Linux, Red Hat)
- ceux qui sont plus exposés à des failles modérées (Oracle, Siemens)
- et les éditeurs avec une grande hétérogénéité dans la gravité (Microsoft notamment)
Ce graphique représente le nombre de vulnérabilités publiées chaque mois pour les 4 éditeurs les plus affectés : Linux, Microsoft, Red Hat et Siemens. On observe que :
- Linux :
- Très forte hausse des vulnérabilités signalées à partir du 2ᵉ semestre 2023
- Plusieurs pics mensuels dépassant les 5000 vulnérabilités, dont un record autour de août 2024
Cela peut indiquer une augmentation massive des signalements liés à des composants Linux ou un rattrapage de publication d’anciennes vulnérabilités, voire une politique de transparence accrue.
- Microsoft :
- Courbe plus stable mais fluctuante
- Quelques pics localisés (notamment début 2024), avec jusqu’à 3000 vulnérabilités/mois
Montre une présence constante dans les publications de failles
- Red Hat :
- Progression régulière à partir de mi-2023, culminant autour de 1800 vulnérabilités/mois
- Ensuite, la tendance semble redescendre ou se stabiliser
Cela reflète probablement une meilleure détection des failles dans les versions récentes
- Siemens :
- Volumes bien plus modérés
- Tendance globale stable, sans pics marqués
Indique un rythme plus régulier et contenu des publications de failles.
Le graphique montre que Linux domine largement en volume depuis 2024, comme nous l'avons vu dans nos analyses précédentes. De plus, les vulnérabilités ne sont pas réparties de façon homogène dans le temps, certaines périodes concentrent une part importante des signalements. Ce type de visualisation est utile pour anticiper les périodes de charge pour les équipes de cybersécurité, prioriser les éditeurs à surveiller ou adapter la veille selon les pics de publication.
Moyenne du délai : 229.81 jours Médiane : 137.0 jours Minimum : 28.0 jours Maximum : 1161.0 jours
Ce graphique illustre la répartition du délai (en jours) entre la date de publication officielle d’une vulnérabilité (CVE) et sa publication par l’ANSSI sous forme d’alerte ou d’avis. L’analyse porte ici sur un échantillon de 1 000 vulnérabilités uniques.
On remarque ici que :
La majorité des CVE sont publiées par l’ANSSI dans un délai court, généralement inférieur à 100 jours
On observe un pic important autour de 0 à 50 jours, indiquant que de nombreuses vulnérabilités sont traitées assez rapidement
Le nombre de publications chute rapidement au-delà de 200 jours
Quelques cas isolés dépassent les 1 000 jours, révélant des délai exceptionnellement longs pour certains cas particuliers
Statistiques issues de l’échantillon :
Moyenne du délai : 132,45 jours : En moyenne, il s’écoule un peu plus de 4 mois entre la publication d’un CVE et sa diffusion par l’ANSSI
Médiane : 49 jours : La moitié des vulnérabilités sont publiées par l’ANSSI en moins de 49 jours. Cela montre que la plupart des cas sont traités rapidement, malgré une moyenne tirée vers le haut par quelques délais très longs
Délai minimum : 0 jour : Certaines vulnérabilités sont publiées immédiatement ou le même jour que leur CVE officiel. Cela reflète une bonne réactivité dans les cas critiques ou médiatisés
Délai maximum observé : 1 471 jours : Soit plus de 4 ans de décalage. Cela concerne probablement des vulnérabilités anciennes, redécouvertes, reclassées, ou dont le contexte a changé (par exemple, des exploits rendus publics tardivement)
La forte différence entre la médiane (49 jours) et la moyenne (132 jours) indique une distribution asymétrique : La majorité des alertes sont publiées rapidement mais quelques cas extrêmes allongent significativement la moyenne.
Ce graphique peut être utile pour mesurer la réactivité globale de l’ANSSI et identifier les cas exceptionnels qui mériteraient une enquête complémentaire (retard de coordination, faille jugée mineure puis réévaluée…)
Le graphique présente une vue 3D croisant les scores de gravité (CVSS), d’exploitabilité (EPSS) et les éditeurs les plus fréquemment associés à des vulnérabilités.
On remarque que plusieurs éditeurs, comme Microsoft, Linux, Google ou Cisco, concentrent un grand nombre de failles, souvent avec des scores de gravité élevés. Cela reflète leur présence massive dans les systèmes d’information et la complexité de leurs environnements logiciels.
Certains éditeurs affichent des vulnérabilités à fort score CVSS mais faible EPSS, ce qui peut traduire des failles critiques sur le papier mais moins activement exploitées en pratique.
À l’inverse, on observe quelques cas où CVSS et EPSS sont élevés, signalant des vulnérabilités à fort impact et fortement exploitables, donc prioritaires à corriger.
Cette représentation permet de : • Visualiser les éditeurs les plus exposés dans leur ensemble, • Identifier les failles les plus dangereuses, • Et aider les équipes sécurité à mieux cibler leurs actions de remédiation en fonction de la gravité réelle des menaces.
L’évolution mensuelle met en évidence des pics irréguliers de vulnérabilités critiques. Les failles hautes et moyennes restent constantes, témoignant d’une pression sécuritaire continue. Les failles faibles sont marginales, ce qui reflète une sélection des bulletins orientée vers l’urgence. L’analyse souligne la nécessité de surveiller les tendances mensuelles pour anticiper les périodes à fort impact.